Firewalls Proxys - AntiSpam

Filtro de informacin

Jos Juan Cerpa Ortega

1

Firewalls

Dispositivo hardware o software Filtra trfico TCP/UDP/IP/ICMP Protege una red de otra expuesta Intil si el sistema donde se instala es vulnerable Necesario desactivar servicios innecesarios Se suele ubicar en el nivel ms exterior
2

Firewalls

Los Firewalls NO proporcionan seguridad absoluta. Son un mecanismo ms, y deben combinarse con otras medias de seguridad, tanto en redes como en sistemas operativos, para hacer el sistema lo ms seguro posible. La nica seguridad absoluta es aislar la mquina.
3

Firewalls

Un firewall no detecta

Ataques internos Formas de ataques desconocidas Virus Filtros : bloquear selectivamente los paquetes Nodos bastion : Ordenadores altamente seguros expuestos directamente a internet.
4

Los firewalls se construyen a partir de

Firewalls

Cmo crear una poltica de seguridad?

Describa para que es el servicio Describa el grupo de personas a las que va dirigido el servicio Describa a que servicio necesita acceder cada grupo Describa para cada grupo de servicio como se puede mantener seguro el servicio Redacte un informe en el que se considere violacin cualquier otro tipo de acceso
5

Firewalls

Poltica por defecto ACEPTAR Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga al puerto TCP 80 ACEPTAR Todo lo que venga al puerto TCP 25 ACEPTAR Todo lo que venga al puerto TCP 110 ACEPTAR Todo lo que venga al puerto UDP 53 ACEPTAR Todo lo que venga de la red local al exterior ENMASCARAR Todo lo que venga del puerto TCP 1 al 1024 DENEGAR Todo lo que venga del puerto UDP 1 al 1024 DENEGAR

Firewalls

Hay 2 formas de implementar un firewall

Aceptar todo por defecto. Fcil de implementar pero peligrosa. Denegar todo por defecto. El firewall es un muro aunque ms difcil de configurar.

IMPORTANTE : El orden en que se introducen las reglas es fundamental ya que las reglas se chequean por orden.
7

Firewalls

Ipchains e Iptables son los firewalls implementados en los ncleos de los sistemas Linux. Ipchains est en desuso y la que se implementa en versiones desde la 2.4 como un servicio es iptables. Ejecutando iptables en la linea de comandos introducimos reglas que indicarn acciones a tomar ante recepcin de paquetes
8

Firewalls

Tres tipos de reglas:

Opciones para las reglas

Filtrado : INPUT, OUTPUT, FORWARD Redireccin : PREROUTING, POSTROUTING Modificacin de paquetes : MANGLE -A aadir una regla - I inserta en una posicin determinada -R reemplazar en una posicin determinada -D eliminar una regla determinada Reject Aceptar Drop Denegar

Acciones

Firewalls

Filtrado de paquetes

N regla Direccin Tipo : TCP/UDP IP Fuente Puerto Fuente IP Destino Puerto Destino Accin
10

Firewalls

Netstat an : Ver los servicios activos en el sistema para empezar a planificar el firewall. Tambin se puede usar nmap. Iptables L n : verificar las reglas aplicadas. IPtraf : programa prctico para chequear el firewall mostrando el trfico que atraviesa la mquina.
11

Firewalls

12

Firewalls

#!/bin/sh #Flush de reglas iptables F iptables t nat F

#politica por defecto iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT iptables P FORWARD ACCEPT iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT

13

Firewalls

#Redirigir a una ip por ejemplo para usar radmin iptables t nat A PREROUTING s 1.2.3.4 i eth0 p tcp dport 4899 j DNAT to 192.168.0.5:4899 #El localhost lo dejamos como esta /Sbin/iptables A INPUT i lo j ACCEPT #A nuestra ip le permitimos todo eth0 va al router y eth1 a la LAN iptables A INPUT s 192.168.0.0/24 i eth1 j ACCEPT #Filtrar el acceso a la red con FORWARD #Aceptamos accesos a la web iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 80 j ACCEPT iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 443 j ACCEPT
14

Firewalls

#Abrir el Puerto SMPT y POP3 iptables A INPUT s 0.0.0.0/0 p tcp dport 25 j ACCEPT iptables A INPUT s 0.0.0.0/0 p tcp dport 110 j ACCEPT #Permitimos red privada virtual iptables A INPUT s 1.2.3.4 p tcp dport 1723 j ACCEPT #Aceptar consultas al DNS iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 53 j ACCEPT iptables A FORWARD s 192.168.0.0/24 i eth1 p udp dport 53 j ACCEPT #Se deniega el resto iptables A FORWARD s 192.168.0.0/24 i eth1 j DROP

15

Firewalls

#Enmascarar y activar bit forwarding iptables t nat A POSTROUTING s 192.168.0.0/24 o eth0 j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #El resto se cierra rango bien conocidos 0.0.0.0 significa cualquier red iptables A INPUT s 0.0.0.0/0 p tcp dport 1:1024 j DROP iptables A INPUT s 0.0.0.0/0 p udp dport 1:1024 j DROP #cerrar el Puerto de gestion webmin iptables A INPUT s 0.0.0.0/0 -p tcp dport 10000 j DROP # Cerrar la red virtual iptables A INPUT s 0.0.0.0/0 i eth0 p tcp dport 1723 j DROP

16

Proxys

Acta en nombre de los clientes Cach para optimizar el ancho de banda Controla el trfico hacia el exterior Permite registrar todo lo que hagan los usuarios El ms usado es el proxy http. SQUID es el paquete usado como proxy en sistemas Linux.
17

Proxys

Configuracin Bsica

Fichero /etc/squid/squid.conf http_port ip:puerto : Direccin y puerto por el que escuchar el proxy. Cache_dir : tamao de la cach. Reference_age : tiempo que se mantendrn en cach los objetos almacenados. (1 mes lo ms razonable).
18

Proxys

Listas de control de acceso

acl nombre src componentes. Ej. Acl mired src 192.168.0.0/24

Reglas de control de acceso

http_access allow/deny nombre_lista http_access allow mired

19

AntiSpam

Filtrado de cabeceras:

Colocar en un fichero ej. Check_cabeceras /^Subject: Re: Your password!/ Header_checks = regexp:/ruta/check_cabeceras Colocar en un fichero
/Accept credit cards/ REJECTS /Nude Celebrities/ REJECTS

Filtrado de contenido:

Body_checks = regexp:/ruta/check_body
20

AntiSpam

Amavisd-new : (A mail virus scanner). Postfix entrega el correo a amavisd por un puerto para chequearlo y este lo devuelve a postfix por otro puerto. Preparado para actuar con spamassassin. El fichero de configuracin es el /etc/amavisd/amavisd.conf y apenas es necesario modificarlo.
21

AntiSpam

Spamassassin : aplicacin que punta a los correos. Si superan una serie de pruebas se le aade puntos Si supera un umbral de puntos se le considerar Spam. Incluye filtros bayesianos para aprender de los correos recibidos. (falsos/positivos y viceversa) Puede ser preconfigurado con /etc/mail/spammassassin/local.cf
22

AntiSpam

/etc/postfix/master.cf smtp-amavis amavis-smtp unix y 2 -o smtp_data_done_timeout=1200s -o smtp_never_send_ehlo=yes -o disable_dns_lookups=yes localhost:10025 inet n y smtpd -o content_filter= -o local_recipient_maps= -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.1/24 -o strict_rfc821_envelopes=yes

smtp

23

AntiSpam

/etc/postfix/main.cf content_filter = smtp-amavis:(127.0.0.1):10024 smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unauth_pipeling check_client_access hash:/etc/postfix/mynetworks, permit_mynetworks, reject_unauth_destination
24

AntiSpam

Para que amavisd-new haga uso de spamassassin debemos cerciorarnos de que no existe esta lnea en el fichero de configuracin de amavisd-new

@bypass_spam_checks_acl = qw( . ); )

25

AntiSpam

$daemon_user =amavis; $daemon_group=amavis; $mydomain = pepe-informatica.com; $forward_method= smtp:127.0.0.1:10025 $notify_method = $forward_method; $final_spam_destiny = D_PASS; $sa_tag_level_deflt = 4.0; $sa_Tag2_level_deflt = 5.0; $sa_kill_level_deflt = $sa_tag2_level_deftl; [clam antivirus-clamd, \&ask_daemon, [CONTSCAN {}\n, /var/run/clamav/clamd.ctl], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
26